Une fois n’est pas coutume, en ce début d’année le Malware Corner ne vous dévoilera pas les détails du dernier RAT gouvernemental au doux nom évocateur des joies de l’enfance. Il ne vous livrera pas non plus les secrets du dernier rootkit UEFI ou de la dernière APT truffée de 0days. Non, pour une fois et sur la base d’un exemplaire récemment rencontré dans la vraie vie, le Malware Corner va s’intéresser au malware « low cost », au Trojan+RAT à la portée de toutes les bourses et destiné à compromettre la machine de M. Toutlemonde au profit du sous-prolétariat de la cybercriminalité.
1. Dropper AutoIt
Non, votre rubrique préférée ne s’est pas transformée en tuto pour hacker débutant. Il s’agit ce mois-ci d’étudier le fonctionnement d’un Trojan+RAT relativement basique récolté au mois d’octobre 2016 sur un PC d’entreprise où il n’était pas détecté par l’antivirus actif. Relativement basique, mais cependant assez efficace.
Le malware se nomme FPVMJY.EXE et arrive via une clé ou un disque USB compromis. L’exemplaire étudié a une taille de 2 861 677 octets, correspond au condensat MD5 3797217DF8624EC6A0FD8A556A87081D. Il a un score VirusTotal de 43/56 à la date de rédaction de cet article et un score de 30/56 au 27/10/2016. Il ne porte pas de date de compilation significative, néanmoins la date de build du RAT embarquée dans la configuration chiffrée, soit le 28/08/2016 semble crédible. La plupart des antivirus le qualifient de Trojan générique et certains de Backdoor Nanocore ou Nanobot. Comme nous allons le voir, il...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première